コラムCOLUMN

CISO とは

用語解説
ciso

概要

CISO とは、「 Chief Information Security Officer 」の頭文字をとったもので「最高情報セキュリティ責任者」と呼ばれています。

企業における、情報セキュリティ対策に必要な施策の推進や取り組み等の情報セキュリティに関する統括管理を担います。

CISO に求められている役割は、経営層の示す経営方針を理解し、事業運営を考慮しながら経営層とセキュリティ部門との「橋渡し」を行うことです。

解説

サイバー攻撃の標的は今では大企業だけではなく、中小企業も含めたすべての企業へと広がっています。

さらに攻撃事態が巧妙化してきているため、自社の実態を正確に把握したうえで本当に必要なセキュリティ対策を計画し、実施することが重要になります。

そのためにも企業として継続的なセキュリティ投資が必要となり、今では「情報セキュリティ対策」は経営課題となっています。

企業において、情報セキュリティ対策を実施する場合、それを主導するのが CISO の役割です。

CISO は必ずしもすべての企業において設置されているわけではありませんが、近年ではこの CISO 設置率が増加しています。

実際に企業においてセキュリティ対策を実施する場合は、情報セキュリティにおける「機密性」「完全性」「可用性」だけではなく、「コスト」「事業リスク」等についても考える必要があります。

理想の姿と現実が乖離しないためにも、経営層の考えを理解し、セキュリティ部門の要求を技術的側面からも把握したうえで、実態に即した自社のセキュリティ対策に落とし込んでいくことが出来る CISO という存在が必要になっているのです。

例えば、経営層から「自社のセキュリティ対策はどうなっている?対策をしろ」とセキュリティ部門へ指示があった場合、セキュリティ部門は運用やツールの導入等を検討し、費用を算出した上で経営層へ稟議を上げます。

しかし、いざ稟議書を確認した経営層からは「高い。本当にこれが必要なのか?」などと言われてしまい結局導入までに時間がかかったり、本当に必要だったものとは別のものになってしまう場合があります。

この原因の一つとして挙げられるのが、経営層とセキュリティ部門とのギャップです。

用語解説CISO図

経営層

技術的知見不足により本当に必要なものなのかどうか正確な判断が難しい
自社の実態を正確に把握できていないことからリスクとコストのバランスが見えづらい などセキュリティ部門経営層が示す経営方針に沿った稟議になっていないため経営層に響きづらい など

経営層

とセキュリティ部門それぞれの視点に立ってこれらのギャップを埋めることが CISO に求められている役割となります。

本ページは、情報セキュリティ分野で利用される範囲における用語解説を目的としている為、表現に正確性に欠ける場合がございます。あらかじめご了承ください。

カテゴリー

最新記事